有没有人写过一个实用程序, 同时过滤和合并许多pcap格式的数据包捕获文件? tshark和tcpdumpfilter,但不合并, mergecap合并,但不过滤。 我试图将64GB的捕获(压缩!)过滤到一个更小的文件中,如果我不需要另外几GB的暂存空间和两个步骤,它们会很好,两者都很慢。
该实用程序必须在Linux上运行,理想情况下已经被打包在Debian中。 能够读取压缩的跟踪文件是非常可取的。 快速也是非常可取的( tshark需要10到30分钟来处理一个input文件,其中有120个)。 我可以忍受限于libpcap的filter语法。
在Debian中挖掘libpcap的反向依赖关系发现我traceplit (与libtrace捆绑在一起的命令行工具之一 ),它同时进行过滤和合并,并且可以在20分钟内处理完整的数据集,得到。 有点奇怪,你使用拆分工具合并过滤,但无论如何。